Заметил, что NT Kernel & System сильно грузил ЦП до 60-70%...

[Vladimir1337]

Во время открывания диспетчера задач процесс резко исчезал. Обнаружил, что ЦП грузил файл "audiobg.exe." в папке ProgramData, вручную удалил его и грузить перестало. Затем обнаружил, что перестал работать Защитник Windows, также я не мог зайти на сайты с установщиками антивирусов, форумами и прочими. Файла Host в папке etc не нашел, вирус его технично спрятал. Пришлось убирать все сайты блокируемые host-ом через AVZ. Проверил комп через тот же AVZ, ничего не обнаружил. С трудом установил Malwarebytes Anti-Malware старой версии, нашел разного рода 70 вирусов. После чего случайно обнаружил папки "MozillaFirefox" на трех разных дисках с файлом "Google Chrome" и 4 файлами-триггерами, также удалил их, сделал вывод, что мог подхватить вирус через расширение в браузере Google Chrome. Защитник Windows заработал и после повторных проверок совместно с Malwarebytes Anti-Malware проблем не обнаружил. Захотел установить другой антивирус и все как один дают сбой при установке (см. файл Сбой антивируса), значит вирусы все еще сидят... Пожалуйста помогите!

[Info_bot]

Уважаемый(ая) Vladimir1337, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Vladimir1337]

Вот.

[Sandor]

Эти администраторы скорее всего не ваши.

Admin (S-1-5-21-2378918005-3912766074-2752549049-1001 - Administrator - Enabled) => C:\Users\Admin
john (S-1-5-21-2378918005-3912766074-2752549049-1002 - Administrator - Enabled)

Если это так, отключите и удалите.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-2378918005-3912766074-2752549049-1001\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-2378918005-3912766074-2752549049-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
  HKU\S-1-5-21-2378918005-3912766074-2752549049-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
  HKU\S-1-5-21-2378918005-3912766074-2752549049-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
  2020-07-01 21:53 - 2020-07-02 03:13 - 000014140 _____ C:\rdpwrap.txt
  2020-06-04 17:55 - 2020-07-02 02:05 - 000000000 __SHD C:\rdp
  2020-06-02 12:42 - 2020-07-02 11:33 - 000000000 __SHD C:\KVRT_Data
  2020-06-02 12:42 - 2020-07-02 03:35 - 000000000 __SHD C:\ProgramData\AVAST Software
  2020-06-02 12:42 - 2020-07-02 02:12 - 000000000 __SHD C:\Program Files\Malwarebytes
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\Norton
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\McAfee
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\grizzly
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\ESET
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\Doctor Web
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\ProgramData\360safe
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\SpyHunter
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\Kaspersky Lab
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\ESET
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\Enigma Software Group
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\COMODO
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\Common Files\McAfee
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\Cezurity
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\ByteFence
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\AVG
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files\AVAST Software
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\Panda Security
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\Cezurity
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\AVG
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\Program Files (x86)\360
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 __SHD C:\AdwCleaner
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 ____D C:\WINDOWS\speechstracing
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 ____D C:\ProgramData\Indus
  2020-06-02 12:42 - 2020-06-02 12:42 - 000000000 ____D C:\ProgramData\Avira
  2020-06-02 12:41 - 2020-07-02 02:05 - 000000000 __SHD C:\ProgramData\WindowsTask
  2020-06-02 12:41 - 2020-07-02 02:05 - 000000000 __SHD C:\ProgramData\install
  2020-06-02 12:41 - 2020-07-01 00:01 - 000000000 __SHD C:\ProgramData\Setup
  2020-06-02 12:41 - 2020-06-02 12:41 - 000000000 __SHD C:\ProgramData\RunDLL
  2020-06-02 12:41 - 2020-06-02 12:41 - 000000000 ___HD C:\ProgramData\System32
  2020-07-02 03:00 - 2016-07-02 23:17 - 000000000 _RSHD C:\MozillaFirefox
  2020-07-01 00:02 - 2020-07-01 00:02 - 000116736 _____ (Stas'M Corp.) [File not signed] c:\program files\rdp wrapper\rdpwrap.dll
  FirewallRules: [{F2343568-28A6-498D-B7FD-E1FBA2C9EEF5}] => (Block) LPort=139
  FirewallRules: [{08019089-699C-4DF6-B963-190030EA4902}] => (Block) LPort=445
  FirewallRules: [{A7797567-D83A-4284-A68B-809DE6A480DF}] => (Block) LPort=445
  FirewallRules: [{82A603E9-CD5E-4B2B-9ECE-5ECCFCC5B51E}] => (Block) LPort=139
  FirewallRules: [{C2754C0F-0BCD-46F0-9835-EEBF810CEA5A}] => (Block) LPort=139
  FirewallRules: [{1142B0A2-C14D-4680-90B8-AF0CDA0DA5B1}] => (Block) LPort=139
  FirewallRules: [{592DF135-40EE-4DE7-8F36-FC880B81B81A}] => (Block) LPort=445
  FirewallRules: [{2E0B101C-B923-414A-B761-748E3BABBF7A}] => (Block) LPort=445
  FirewallRules: [{B005ADB6-5921-4D38-A168-6CE977B26DDE}] => (Allow) LPort=3389
  FirewallRules: [{32C52028-7C3F-4E33-8F59-DC7D058FAC83}] => (Block) LPort=445
  FirewallRules: [{3E1D4763-182A-43D5-AB10-00DFA525AF6F}] => (Block) LPort=139
  FirewallRules: [{F32DD20E-651E-4226-9DB7-55877E5F8B36}] => (Block) LPort=445
  FirewallRules: [{ED6D3B79-25C7-4296-9E1E-DD1828DE9FE5}] => (Block) LPort=139
  FirewallRules: [{41415569-B17B-4094-807E-1658601AD018}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Vladimir1337]

Fixlog.txt

- - - - -Добавлено - - - - -

Подскажите, как удалить или отключить администраторов?
UPD: Удалил администратора john через win+r "control userpasswords2"

[Sandor]

Win+R введите compmgmt.msc и нажмите Enter.
Появится оснастка Управление компьютером. Локальные пользователи - Пользователи.

[Vladimir1337]

Большое спасибо! Сейчас всё работает. По началу после фикса с FRST и последующем удалении вирусного администратора почему-то были проблемы со входом на официальные сайты антивирусников, пришлось скачать со стороннего. Прошло немного времени и всё заработало. Благодарю еще раз!

[Sandor]

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Vladimir1337]

К сожалению, опять только что наблюдались проблемы с подключением к официальным сайтам антивирусов.
UPD: на других устройствах всё работает нормально

[Sandor]

Сделайте свежие логи FRST

[Vladimir1337]

Fixlog.txt

[Sandor]

Нет, я подразумевал не выполнить еще раз фикс, а собрать новые логи, как в сообщении №4.

[Vladimir1337]

FRST Addition

[Sandor]

проблемы с подключением к официальным сайтам антивирусов

Уточните, к каким именно сайтам и в каком браузере?

[Vladimir1337]

Проблема решена! Выставленные DNS в настройках поставил на автоматические и всё заработало. Спасибо Вам за помощь!

- - - - -Добавлено - - - - -

И всё же, как Вы думаете, действительно ли мог вирус залезть через расширения в браузере? Или же я его ненароком скачал с какой-то программой?

[Sandor]

залезть через расширения в браузере?

Нет. Второе вероятнее.

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.2189.14393.0 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 Внимание! Скачать обновления


Читайте Советы и рекомендации после лечения компьютера.